Hafnium-Exploits: Lücken in Exchange Server werden für Spionage genutzt
Microsoft schließt per Patch kritische Lücken in Exchange Server 2019, 2016, 2013 und 2010, die dem Unternehmen zufolge bereits gezielt ausgenutzt wurden um Industriespionage zu betreiben. Dahinter stecke meistens die Gruppe Hafnium aus China. Microsoft ruft dazu auf, extern erreichbare Exchange Server umgehend zu aktualisieren.
Gefahr in Verzug
Diese Aufforderung geht Unternehmen zur Stunde sogar direkt und nicht nur per Update-Hinweis im Microsoft Security Response Center zu. Dieses Vorgehen, einen Patch für den bereits nicht mehr unterstützten Exchange Server 2010 anzubieten und die Tatsache, wie breit Microsoft öffentlich über die Lücke und deren Ausnutzung informiert, deuten auf ein ernstes Problem hin.
Even though we’ve worked quickly to deploy an update for the Hafnium exploits, we know that many nation-state actors and criminal groups will move quickly to take advantage of any unpatched systems. Promptly applying today’s patches is the best protection against this attack.
Der Angriff erfolgt laut Microsoft über eine nicht vertrauenswürdige Verbindung über Port 443 und erlaubt es im Anschluss Zugang zu den E-Mail-Konten zu erlangen sowie weitere Malware auf den Server per Web Shell einzuschleusen um zum Beispiel Daten aus dem Netzwerk abzuziehen, was in der Regel von einem Server in den USA aus geschieht.
So lassen sich Angriffe erkennen
Betroffene Rechner sind damit auch nach dem Patch potentiell noch infiltriert. Um Firmen dabei zu helfen herauszufinden, ob sie betroffen sind, stellt Microsoft umfangreiche Hilfestellungen zur Nachverfolgung der verschiedenen Angriffswege online. Die Lücken wurden als CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065 katalogisiert.
Hinter den Angriffen steckt laut Microsoft die Gruppe Hafnium, die mit staatlicher Unterstützung aus China operieren soll und in der Vergangenheit vor allem Firmen in den USA im Fokus gehabt hat. Eine Gefahr für Betreiber „privater“ Exchange Server sieht Microsoft aktuell nicht, da die bekannten Attacken eindeutig gezielt Firmen und deren Firmengeheimnisse zum Ziel gehabt haben. Microsoft habe die US-Sicherheitsorgane über die Erkenntnisse informiert.
BSI warnt vor mehreren Schwachstellen in MS Exchange
In der Zwischenzeit hat auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor mehreren schweren Sicherheitslücken in MS Exchange sowie Exchange Server 2010, Exchange Server 2013, Exchange Server 2016 und Exchange Server 2019 gewarnt.
Die Behörde gab in diesem Zusammenhang ein entsprechendes Dokument heraus und stuft die Schwachstellen mit der höchsten von vier Stufen (4 – „rot“) ein.
In seinem Schreiben geht das BSI zudem noch einmal im Detail auf den Sachverhalt um die Schwachstellen CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065 ein und nennt die entsprechenden Updates, welche die Sicherheitslücken schließen.